IT-Sicherheit in der Wasserwirtschaft

Eine Kläranlage ist Teil der kritischen Infrastruktur. Im Falle eines Hackerangriffs könnten massive hygienische Probleme entstehen. Foto: Adobe Stock/Richard Johnson

Wie sicher ist die Wasserversorgung während der Corona-Pandemie? Wie wahrscheinlich ist ein Hackerangriff auf die Abwasserentsorgung? Und wie können die kritischen Infrastrukturen davor geschützt werden?
Dr. Wolf Merkel vom DVGW und Johannes Lohaus von der DWA geben Antworten zu Risiko und Gefahrenabwehr von Cyber-Angriffen auf die Wasserwirtschaft.

 

Wasserversorgung und Abwasserbeseitigung haben den Stresstest Corona bestanden. Gilt das auch für die IT-Sicherheit der Branche?

Johannes Lohaus: Zum Glück wurde im Zuge der Corona-Pandemie sehr schnell klar, dass über die Trinkwasserversorgung oder Abwasserentsorgung Corona nicht übertragen werden kann. Von daher gab es diesbezüglich keinen Stress, aber es mussten trotzdem enorme Anstrengungen unternommen werden, um den sicheren Betrieb der Anlagen unter Pandemiebedingungen aufrecht zu erhalten. Auch bezogen auf die IT-Sicherheit kann man sagen, dass die Wasserwirtschaft den Stresstest bisher bestanden hat. Als erster Bereich innerhalb der kritischen Infrastrukturen hat sie einen Branchenspezifischen Sicherheitsstandard (B3S) herausgebracht. DWA und DVGW haben diesen gemeinsam in Arbeitsgruppen erstellt.

Wolf Merkel: Der Schutz der Informationstechnik hat einen sehr hohen Stellenwert in der Wasserversorgungsbranche. Bei Hackerangriffen handelt es sich bislang um Einzelfälle, die überwiegend auf Systeme der Bürokommunikation abzielen. Diese EDV-Netzwerke sind bei den meisten Wasserversorgungsanlagen von der Operational Technology, also zum Beispiel der Steuerungstechnik, getrennt. Im vergangenen Jahr sorgte der vermeintliche Hackerangriff auf ein großes deutsches Wasserversorgungsunternehmen für Schlagzeilen. Er erwies sich als das Ergebnis eines in Auftrag gegebenen Penetrationstests, also einer prophylaktischen Suche nach Sicherheitslücken. Bei dem Hackerangriff Anfang Februar auf eine Trinkwasseranlage in Florida wurde der Zugriff auf die Aufbereitungstechnik rechtzeitig erkannt. Deutlich wird hierbei: Die Wasserversorgung als kritische Infrastruktur ist prinzipiell ein attraktives Ziel für Hacker und muss sich wirksam gegen deren Angriffe und Ausfälle schützen.

 

Dr. Wolf Merkel ist Vorstand für
das Ressort Wasser des Deutschen Vereins
des Gas- und Wasserfaches (DVGW).

 

Johannes Lohaus ist Sprecher der
Deutschen Vereinigung für Wasserwirtschaft,
Abwasser und Abfall e. V. (DWA).

 

 

 

Wie widerstandsfähig ist die Branche?

Lohaus: Der von den beiden Vereinigungen herausgebrachte Sicherheitsstandard wird alle zwei Jahre in enger Absprache mit dem Bundesamt für Sicherheit in der Informationstechnologie aktualisiert. Diese für technische Regeln kurz getaktete Fortschreibung ist der rasanten Entwicklung in der Informationstechnologie geschuldet. Damit ist Vorsorge auf dieser Ebene getroffen. Darüber hinaus bedarf es natürlich in den Betrieben selbst eine hohe Sensibilität für dieses Thema. Diese muss in den Führungsetagen beginnen. Denn eine hohe Widerstandsfähigkeit kann nur erreicht werden, wenn von der Führungsetage bis in den Technikraum alle über die Gefahren von Cyber Crime Bescheid wissen und sowohl den erwähnten Standard als auch die unternehmensspezifischen Richtlinien zur IT-Sicherheit beherzigen.

Wie hat sich die Situation Kritischer Infrastrukturen vor dem Hintergrund der Corona-Krise verändert?

Merkel: Die hohe Widerstandsfähigkeit der Branche hat ihre Gründe: Die Versorgungswirtschaft hat bereits früh erkannt, dass die digitale Transformation enorme Chancen bietet und intelligente Prozesse Effizienz und Sicherheit von Abläufen erhöhen können.

Die Corona-Krise hat bei Unternehmen der kritischen Infrastrukturen, wie bei vielen anderen auch, das Digitalisierungstempo erhöht. Um kontaktloses Arbeiten beispielsweise bei der Baustellenkoordination und Überwachung ebenso wie bei Wartung und Instandhaltung der Versorgungsinfrastruktur zu ermöglichen, mussten innerhalb kürzester Zeit viele Arbeitsprozesse und Kommunikationsformate digitalisiert werden. Plötzlich waren alle Mitarbeiter aufgerufen, die Chancen und Möglichkeiten der Digitalisierung zu nutzen und gewohnte Arbeitsroutinen umzustellen. Und das hat erfreulicherweise zum ganz großen Teil sehr gut funktioniert – und ist ein Beleg dafür, dass unsere Branche zeitgemäß agiert und sehr flexibel aufgestellt ist. Interessant ist in diesem Zusammenhang unsere ganzheitliche Untersuchung über die Auswirkungen von Corona auf die Versorgungswirtschaft; die Ergebnisse sind auf unserer Website veröffentlicht.

https://www.dvgw.de/medien/dvgw/leistungen/publikationen/versorgungswirtschaft-corona-kompakt-dvgw-leseoptimiert.pdf

Was könnte bei einem Hackerangriff auf die Wasserwirtschaft passieren?

Lohaus: Die Wasserwirtschaft in Deutschland ist sehr dezentral aufgestellt. Es gibt zum Beispiel circa 9300 öffentliche Kläranlagen in Deutschland. Bei einem Hackerangriff kann daher nicht gleich das ganze Land getroffen werden. Gezielte Hackerangriffe auf die Wasserwirtschaft kommen eher selten vor, der Finanzsektor ist da beispielsweise sehr viel stärker betroffen. Aber auch als „Beifang“ können die Schäden für den einzelnen wasserwirtschaftlichen Betrieb sehr groß sein. Wird auf einer Abwasserentsorgungsanlage durch Cyberkriminelle die IT lahmgelegt, kann es zu einer erheblichen lokalen Umweltverschmutzung kommen. Werden Pumpstationen manipuliert, können Überflutungen und massive hygienische Probleme auftreten. Viele Prozesse lassen sich zum Glück auf Abwasserentsorgungsanlagen noch händisch bewerkstelligen, aber die IT hat schon einen beträchtlichen Anteil der Steuerung übernommen, so dass das ausschließliche manuelle Fahren von Kläranlagen oder beispielsweise Pumpwerken eine Herausforderung ist.

Was können Wasserversorger und Abwasserentsorger konkret tun, um ihre Infrastruktur vor IT-Angriffen zu schützen?

Merkel: Die Implementierung oder Erweiterung digitaler Strukturen kann zum Einfallstor für Kriminelle werden. Die Corona-Pandemie beschleunigt Digitalisierungsprozesse, was Hackern weitere Angriffsfläche bietet. Unternehmen werden verletzlicher, sofern nicht die notwendigen Schutzmaßnahmen ergriffen werden. Eine wirksame Maßnahme ist der erwähnte Sicherheitsstandard. Er wurde vom Bundesamt für Sicherheit in der Informationstechnik geprüft und ermöglicht Unternehmen, den im BSI-Gesetz definierten Schutzanforderungen zu entsprechen. Sein zentraler Bestandteil, der IT-Sicherheitsleitfaden, wird laufend aktualisiert. Unternehmen bekommen damit ein hilfreiches Instrument an die Hand, um ihre IT-Infrastruktur gesetzeskonform zu schützen.
Bieten die zur Verfügung stehenden Instrumente einen ausreichenden Schutz?

Bieten die zur Verfügung stehenden Instrumente einen ausreichenden Schutz?

Lohaus: Ja, aber die existierenden Richtlinien, technischen Regeln und Standards müssen auch mit Sorgfalt in den Betrieben umgesetzt werden. Wir empfehlen den Betrieben zusätzlich, sich einer TSM-Prüfung, also einer Prüfung des Technischen Sicherheitsmanagements, zu unterziehen, die auch den Bereich der IT-Sicherheit einschließt. Wie schon angeführt, gibt es aber keinen 100-prozentigen Schutz vor Cyber-­kriminalität.

Die Versorgung mit Trinkwasser und die Beseitigung von Abwasser liegen in Deutschland größtenteils in der Hand kleiner kommunaler Betriebe. Sie fallen nicht unter den IT-Branchenstandard. Wie können sie digitale Systeme vor Hackern schützen?

Merkel: Der Branchenstandard der Wasser- und Abwasserversorgung bietet einen umfassenden Schutz. Das gilt auch für die rund 5500 kleinen und mittleren Wasserversorger, die etwa die Hälfte der deutschen Bevölkerung versorgen. Der Branchenstandard ist so konzipiert, dass er die Grundlage vorgibt, damit die betroffenen Unternehmen die Anforderungen des BSI-Gesetzes erfüllen können. Außerdem bietet er kleinen und mittleren Unternehme n eine einfache Möglichkeit, die sicherheitstechnischen Schwachstellen ihrer IT-Infrastruktur zu identifizieren und Schutzmaßnahmen zu ergreifen.

Stichwort Wasserwirtschaft 4.0. Im Kern geht es darum, die Wasserwirtschaft besser zu vernetzen, zu automatisieren und mit zukunftsfähigen Systemen auszustatten. Wo geht die Reise hin?

Merkel: In vielen Bereichen der Trinkwasserversorgung können moderne Technik und digitale Anwendungen Arbeitsprozesse optimieren und die betriebliche Effizienz steigern. Es ist absehbar, dass der Einsatz digitaler Technologien positive Auswirkungen auf alle Wertschöpfungsstufen der Wasserversorgung von der Rohwassergewinnung bis zur Kundenabrechnung haben wird. Bekannte Beispiele für erfolgreiche digitale Nutzungen sind etwa die Erfassung von Daten in Echtzeit via Smart Meter, der Einstieg in digitale Bauplanung und -ausführung mittels BIM, oder die Auswertung von digitalen Sensordaten für eine vorausschauende Wartung.

Die Implementierung neuer Technologien geht mit hohen Investitionen einher. Versorger müssen oftmals erst eine Infrastruktur schaffen, die die Konnektivität der Anlagen sicherstellt. Noch fehlt zudem vielerorts qualifiziertes Personal, das über Know-how für den Aufbau digitaler Infrastrukturen verfügt. Entscheidend ist daher, Versorgungsunternehmen Hilfestellungen in Form von Best Practice Beispielen und Werkzeugen zur Bewertung digitaler Implementierungen zur Verfügung zu stellen. Das DVGW-Reifegradmodell 4.0 hilft bei der Erfassung des digitalen Ist-Standes und befördert eine Digitalstrategie für Wasserversorger.

Lohaus: Der Begriff Wasserwirtschaft 4.0 ist zunächst ein Schlagwort und kann nicht 1:1 verglichen werden mit Industrie 4.0.

Unabhängig davon setzt sich die Wasserwirtschaft schon immer mit Automatisierung und zukunftsfähigen Systemen auseinander, denn die Herausforderung an die Wasserwirtschaft steigen und damit auch der Anspruch, die Versorgung und Entsorgung auf höchstem Niveau zu erbringen. Dabei helfen uns schon seit jeher IT-Systeme. Messen, Steuern, Regeln sind beispielsweise auch wichtige Inhalte der Ausbildung zum Abwassermeister. Die Möglichkeit, auf immer mehr Daten zurückzugreifen und diese zu vernetzen, hilft bei der Planung, beim Bau und beim Betreiben von Anlagen. Building Information Modeling (BIM) ist schon im Hochbau seit mehreren Jahren bekannt und zieht nun auch im Tiefbau zunehmend seine Kreise. Dahinter steckt die Philosophie, den Lebenszyklus einer Gesamtanlage und all ihrer Komponenten abzubilden und entsprechend zu verwalten.

So genannte virtuelle Zwillinge werden uns zukünftig zunehmend bei der Aus-, Weiter- und Fortbildung unterstützen. An virtuellen Zwillingen kann man einfach lernen und das System besser als Ganzes begreifen. Außerdem werden uns die digitalen Abbilder helfen, Abläufe und Prozesse auf unseren Anlagen zu optimieren, da sie zunächst in einem virtuellen Zwilling simuliert werden können.

 

Interview: Sabine Wächter und Alexandra Bartschat

 

Weiterführende Links: